RansomHub Ransomware

Publicado hace 8 meses 03-05-2024

El grupo de ransomware RansomHub fue identificado por primera vez a finales del 2020. El grupo, que sigue un modelo Ransomware-as-a-Service (RaaS) se hace distinguir de otros grupos de ransomware ofreciendo mejores tratos con los afiliados del grupo, y tener controles más estrictos [9]. Evitan atacar organizaciones sin ánimos de lucro [1], y declararon que no atacan a Cuba, Corea del Norte, China ni Rumania [2] [6] [8]. Hay evidencia que existe un vínculo entre el grupo RansomHub y el ya desaparecido grupo de ransomware ALPHV (también conocido como BlackCat). El ransomware está escrito en Golang y C++, y es capaz de infectar equipos de Windows, Linux, e instancias de ESXi. El último mes la cantidad de víctimas que RansomHub ha publicado en su sitio de la web ha aumentado un 70%, por lo que saber cómo funciona y cómo mitigar riesgos de este grupo es fundamental para asegurar la confidencialidad, integridad y disponibilidad de la información de una organización.


Figura 1. RansomHub buscando afiliados en el foro RAMP.

Los dos vectores de ataque iniciales que suele emplear RansomHub son los ataques de phishing y spear phishing por medio de correo electrónico, y la explotación de vulnerabilidades que no han sido parchadas. Algunas de las vulnerabilidades de las cuales el grupo se aprovecha son las siguientes [1]:
 

  • CVE-2017-0144: Vulnerabilidad crítica de la implementación SMB de Windows que le podría permitir a un atacante ejecutar código malicioso. Al ser una vulnerabilidad bastante vieja, existen múltiples formas de parcharla para mitigar riesgos. EternalBlue es un exploit bastante conocido que se aprovecha principalmente de esta vulnerabilidad [3].
  • CVE-2020-1472: Vulnerabilidad en el protocolo Netlogon, que abusa de un fallo criptográfico, que podría permitirle a un atacante establecer un canal seguro de Netologon con un control de dominio como cualquier computadora. Esta vulnerabilidad es también conocida como Zerologon [4].
  • CVE-2020-0787 y CVE-2020-0788: Vulnerabilidades en el servidor Fax de Windows, que podría permitirle a un atacante ejecutar código remoto. Ya existen parches para esta vulnerabilidad.

Por otro lado, el grupo RansomHub también ha sido identificado realizando ataques de fuerza bruta intentando crackear contraseñas débiles para así obtener acceso a los sistemas a través de RDP o VPN.

Una vez dentro del sistema de la víctima, RansomHub busca moverse lateralmente entre los equipos, y escalar sus privilegios para tener acceso a los sistemas críticos. Busca exfiltrar la información sensible de los sistemas comprometidos, incluyendo datos financieros, información personal y propiedad intelectual [1].

Ya con la información exfiltrada, RansomHub continúa con el proceso de encriptación de los archivos de los sistemas comprometidos. Según Fortinet y WatchGuard [6] [5], los algoritmos de cifrado que utiliza RansomHub son AES256, ChaCha20, y XChaCha20, logrando un cifrado prácticamente imposible de desencriptar con las tecnologías actuales. El ejecutable del ransomware se llama “t_amd64.exe”. Después de encriptar todos los archivos del sistema, deja una nota de rescate llamada README_[id].txt visible para la víctima, la cual contiene instrucciones específicas para ponerse en contacto con el grupo y poder negociar y llegar a un trato para poder desencriptar los archivos comprometidos. Además, cambia el fondo de pantalla de los equipos con un texto indicando que la información ha sido encriptada y robada.

Ransomware_note_Windows10x64_EDR5.2-2024-03-11-10-07-04 - Copy.png
Figura 2. Nota de rescate de RansomHub.

RansomHub_wallpaper_.png
Figura 3. Fondo de pantalla cambiado por RansomHub.

El grupo implementa la técnica de doble extorsión, amenazando a sus víctimas no solo con mantener sus archivos encriptados, sino también con publicar toda la información robada en su sitio de la Dark Web de manera gratuita. En caso de que la víctima no se comunique con el grupo RansomHub, o que no se llegue a un trato económico, el grupo publicará en su sitio de la Dark Web información sobre la víctima, el tamaño de la información robada y un contador indicando cuándo la información se hará pública.

Ransomhub_onion_site_2024-03-26-11-12-12.png
Figura 4. Sitio de la Dark Web de RansomHub.

Taxonomía de ataque de MITRE ATT&CK [1] [6]
 
Táctica Técnica ID
Execution User Execution
Windows Management instrumentation
Command and Scripting Interpreter: PowerShell		 T1024
T1047
T1059.003
Defence Evasion Virtualization/Sandbox Evasion
Obfuscated Files or Information
Indicator Removal: Clear Windows Event Logs		 T1497
T1027
T1070.001
Discovery Process Discovery
Query Registry
System Information Discovery
File and Directory Discovery		 T1057
T1012
T1082
T1083
Impact Data Encrypted for Impact
Inhibit System Recovery
Service Stop		 T1486
T1490
T1489

Recomendaciones

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Indicadores de compromiso
 
Tipo Indicador de compromiso
Dominio www.mizuhubesnk.top
Dominio www.mizuhubaenk.top
Dominio www.mizuhubsank.top
Dominio meethub.gg
Dominio meethub.app
Dominio www.msaaezusshubsnk.top
Dominio www.mizuhubsnk.top
Dominio www.mizuhubank.com
Dominio www.mizuhubank.top
Dominio huboftest.ir
Dominio mmapplicationshub-bhi.pages.dev
Dominio mmapplicationshub.pages.dev
Dominio jobsforfelonhub.com
Dominio mmapplicationhubs.pages.dev
Dominio mmapplicationhub.pages.dev
Dominio elchubutense.com.ar
Dominio inbox-rules.at
Dominio 365.cloud
Dominio kzfraqve.java
Dominio universitex.hubside.fr
Dominio mail.mod.gov.ge
Dominio hitsbitsx.com
Dominio www.cwhubbb.cn
Dominio coinpayhub.com
Dominio gsxhub.com
Dominio search.tab-hub-simple.online
Dominio authentication-tyloo-hub.com
Dominio ftp.huboftest.ir
Dominio my4flirtvibeshub.life
Dominio suddshub.com
Dominio edenhuber.autos
Dominio github.as
Dominio utilityhub-container.info
Dominio msservice-143601145.hubspotpagebuilder.eu
Dominio secureci.org
MD5 3034b61a52ddc30eabdb96f49334453b
MD5 a1dd2dff2859b22bcf6a3a4d868a2dbc
MD5 0cd4b7a48220b565eb7bd59f172ea278
MD5 392880023da7df0f504056be9e58d141
MD5 09e382be8dc54551cbfc60557d5a70b0
MD5 cfb2286b45544fdb23569f59c02e3d58
MD5 19209b41db4a3d67e2c2c1962d91bd25
MD5 8c8916d8ea8c44e383d55e919a9f989f
MD5 bd1efe953875f35cc8b787c0980e8a75
MD5 19ebefbb1e4cb0fc5ce21b954f52e1bc
MD5 eaa6160cf4ed6b7d8d68eeb42c0362d5
MD5 ba8763fc59d73b28b070cb6eb393aa83
MD5 477293f80461713d51a98a24023d45e8
SHA-256 02e9f0fbb7f3acea4fcf155dc7813e15c1c8d1c77c3ae31252720a9fa7454292
SHA-256 34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087
SHA-256 7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a
SHA-256 8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7
SHA-256 ea9f0bd64a3ef44fe80ce1a25c387b562a6b87c4d202f24953c3d9204386cf00
SHA-256 104b22a45e4166a5473c9db924394e1fe681ef374970ed112edd089c4c8b83f2
SHA-256 2f3d82f7f8bd9ff2f145f9927be1ab16f8d7d61400083930e36b6b9ac5bbe2ad
SHA-256 36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e
SHA-256 595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb
SHA-256 7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2
SHA-256 e654ef69635ab6a2c569b3f8059b06aee4bce937afb275ad4ec77c0e4a712f23
SHA-256 fb9f9734d7966d6bc15cce5150abb63aadd4223924800f0b90dc07a311fb0a7e
SHA-1 eec3a55b1599eee16a47954e1bb230ec99db5f96
SHA-1 bd886d47719d0881fcd7001713169215996f530f
SHA-1 a7ca950c6dadd02ab8fafdba8f984266fc2f9b7c
SHA-1 06156f7e42dc18f36c64855edb8adbb892cac0c0
SHA-1 b312a5003d6919d5985630dbd655d306a318ce13
SHA-1 82793d93d987abb357809f069420d17a25a59f26
SHA-1 261535c91df592071adb5cdbf255566c9ce019dc
SHA-1 ada3a90f022fbdaee50245ecdaab6e5756d18d0d
SHA-1 63c31bcda20194821d142a0ed131eb32649aa32e
SHA-1 5f27d44bfdd918e17605cdef3883c8070325cdfb
SHA-1 b67b17b8930c872da4347be931fb9b27c624f0cb
SHA-1 ee682488fe843d8bb826854d23b2cea73fad4969

Referencias

  1. Red Piranha. (2024, abril 29). THREAT INTELLIGENCE REPORT APRIL 23 - APRIL 29 2024. Recuperado el 2 de mayo de 2024 en: https://redpiranha.net/news/threat-intelligence-report-april-23-april-29-2024
  2. iZOOlogic. (2024, febrero 8). Unveiling RansomHub: the new mysterious threat in cyberspace. Recuperado el 2 de mayo de 2024 en: https://izoologic.com/region/us/unveiling-ransomhub-the-new-mysterious-threat-in-cyberspace/
  3. Burdova, C. (2020, junio 18). ¿Qué es EternalBlue y por qué el exploit MS17-010 sigue siendo relevante?. Avast. Recuperado el 2 de mayo de 2024 en: https://www.avast.com/es-es/c-eternalblue
  4. Tenable. (s.f.). Indicators of Attack. Recuperado el 2 de mayo de 2024 en: https://www.tenable.com/indicators/ioa
  5. WatchGuard. (s.f.). RansomHub (active). Recuperado el 2 de mayo de 2024 en: https://www.watchguard.com/es/wgrd-security-hub/ransomware-tracker/ransomhub
  6. Agat. (2024, abril 4). Threat Coverage: How FortiEDR protects against RansomHub Ransomware. Fortinet Community. Recuperado el 2 de mayo de 2024 en: https://community.fortinet.com/t5/FortiEDR/Threat-Coverage-How-FortiEDR-protects-against-RansomHub/ta-p/308376
  7. Centro Nacional de Seguridad Digital, Peru. (2024, abril 5). Alerta integrada de Seguridad Digital. Gobierno de Perú. Recuperado el 2 de mayo de 2024 en: https://cdn.www.gob.pe/uploads/document/file/6153884/5432039-alerta-integrada-de-seguridad-digital-080-2024-cnsd.pdf
  8. Hollingworth, D. (2024, marzo 5). The rise of RansomHub: Uncovering a new ransomware-as-a-service operation. CyberDaily. Recuperado el 2 de mayo de 2024 en: https://www.cyberdaily.au/security/10272-the-rise-of-ransomhub-uncovering-a-new-ransomware-as-a-service-operation
  9. SOCRadar (2024, marzo 22). Dark Web Profile: RansomHub. Recuperado el 2 de mayo de 2024 en: https://socradar.io/dark-web-profile-ransomhub/
  10. NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 2 de mayo de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más